保护企业免受最新网页威胁的危害,是您越来越重要的责任。外部攻击威胁、内部信息泄漏风险、网络滥用等等,都可能危及您的企业体质、损害您的商誉,所以,您要如何保护您的企业呢?趋势科技在此提供了 10 大秘诀,教您如何保护珍贵的资料,预防各种威胁。
1) 在威胁进入您的企业之前便预先拦截
您不会将您的身分证字号印在传单上四处散发,您也不会请网络犯罪者帮您规划财务。但是,如果您未好好保护您的电脑,并且安装适当的安全防护,就有可能发生上述情况。
根据华尔街日报 (Wall Street Journal) 的报导:“黑客已经开始将攻击目标从跨国性企业扩大到任何会储存电子化资料的企业。现在,那些逐渐开始采用电脑化系统与数位记录的小型企业,已经成为黑客的主要目标”。
以下是几个可以让您防止恶意程序与其他威胁渗透或损害您电脑与网络的一些简单步骤:
采用防火墙 – 大多数的网络路由器都内建了防火墙 (所以,别忘了启用)。但是,面对今日恶意程序的复杂性,光一套防火墙是不够的。
采用云端安全防护来保护您的电脑 – 为了防范日新月异的威胁,您需要一套建置在云端的安全防护,如此,只要一套解决方案就能防止身分窃盗、危险网站、黑客攻击,同时又不影响电脑效能。
看得见才能保护 – 选择一套能协助您掌握所有业务电脑、服务器,甚至是移动装置使用者的解决方案,全部整合至单一主控台。
方便移动装置使用者 – 在今日的移动化世界当中,当员工进出办公室时,装置上的安全防护应该要能自动侦测并且将设定切换至最适当的等级。
清除SPAM 垃圾邮件- 云垃圾邮件解决方案可在邮件进入您的企业之前就预先过滤掉不请自来的电子邮件,同时可封锁风险、避免员工分心。
2) 为您的企业制定一套安全政策
您是否认为您的企业太小,黑客看不上眼?很不幸地,小型企业因为 IT 资源有限,反而是黑客眼中容易下手的目标。因此,您务必建立一套容易更新、容易宣导、也容易贯彻的安全政策。
以下是您安全政策应该包含的重点:
详列软件使用限制 – 明确列出哪些是公司电脑允许安装的软件,哪些则禁止。
要求采用高强度的密码 – 请参阅第四点有关密码的秘诀。
详列电脑使用限制 – 明确列出哪些个人用途是允许的,例如:个人信箱、社交网络等等。
宣导正确的电子邮件使用方式 – 制定内部与外部通讯原则,说明哪些文件/档案可以或不可开启或转寄。
考虑采用加密 – 决定是否采用一套电子邮件加密系统来保护您的敏感资料,并且决定使用时机。
指派一位安全政策主管 – 当员工有任何关于安全政策或一般电脑安全问题时,需要有人可以咨询。
强制贯彻 – 要有心理准备当有人违反政策时该如何强制贯彻。
3) 建立社交网络/媒体使用原则
Facebook、Twitter 和 LinkedIn 这类的社交网络已是大势所趋,因此,请务必让员工具备一些最佳使用原则的观念。以下是一些可让您企业降低社交媒体风险的方法:
清楚定义所谓的机密 – 将 Facebook、Twitter、LinkedIn 等等社交/群网站列入您的安全政策及机密信息保密合约当中。
提供清楚且容易遵守的原则 – 员工需要知道哪些信息可以张贴在社交媒体上,以及可张贴的人员为何。这些原则应包含下列几项:
为了符合伦理道德,所有员工都应表明自己是您公司的员工或受聘人员。
提醒客户只透过电子邮件或个人讯息传送个人信息,让客户知道可以到哪里询问有关机密信息的相关问题。
使用像 SocialMedia.org 这样的资源来建立您的使用原则并进一步认识社交媒体。
积极参与社交活动 – 但也要有智慧:
视您的企业目标而定,仅发布一些您放心让大众广为流传的信息。
限制员工在线上公开的个人信息。
避免点选来自不明人士的连结。
4) 使用高强度密码
不论您喜欢与否,大多数的小型企业网络都是使用密码来保护,因此,密码是保护您企业网络的关键。您不需成为统计专家就能理解,密码的字数越多,密码的强度就越强。以下是建立高强度密码的原则:
一开始就使用高强度密码 – 要求使用 8 至 15 个字元并且包含数字和符号组合的密码,以防止他人轻易猜到密码。
定期更换密码 – 要求每 6 个月更换一次密码。
妥善保管密码 – 将密码写下来、将密码储存在手机,或者使用容易猜测的密码,都会让公司处于危险当中。员工应该建立自己能记得住而他人却无法猜到的密码。
使用无意义的密码 – 使用随机字母、数字与特殊符号组合的密码强度最高。例如:!q2w3e4 或其他的随机组合。
5) 严肃看待网络安全
网络是一种强大的商业工具。但是,如果您的信息安全解决方案无法主动扫瞄内容、追踪恶意程序,并且警告您其他潜在问题,那么网络就会变成恶意程序的来源。请务必选择能协助您应付最新威胁、又不会让员工分心的网络安全解决方案。为了让员工维持生产力,您的解决方案应该要能:
自动更新 – 别指望员工会随时记得保持安全并注意自己存取网络或上网的地点和时间。不论对企业内部人员或远端的员工、甚至是使用移动装置的人员来说,自动更新都能让信息安全方案在背后自动运作。
防止不当的网络使用习惯 – URL 过滤可全面 (或者在上班时间) 禁止员工存取非生产力相关的网站,而且,这类过滤还可封锁一些危险的连结,保护您的企业。
6) 寻求员工的配合
大家对于大型个人信息泄漏 (DLP) 事件登上报纸头条已经司空见惯,但是您知道吗?将近 80% 的信息泄漏事件都是人为因素造成。这是事实,而且原因不外乎是员工将机密或敏感的信息寄错了人,或者只是未使用安全的方法寄送。
教大家认识风险 – 由于法规日益严格,个人信息泄漏 (DLP) 与意外泄漏的后果越来越严重。请教导员工认识法规的要求,以及保护企业信息的最佳实务原则。教大家认识违反法规的风险,让他们知道如何小心谨慎、降低风险。
别低估个别员工对信息安全的影响 – 如果员工关闭了扫瞄,或者发送不当的内容,那么,企业就可能面临恶意程序、诉讼与商誉损失等风险。
确实保密 – 让所有员工都了解机密信息与可公开信息的差别。此外,确实强调机密文件或信息泄漏 (DLP)的严重后果。
7) 建立有效的经销商/顾问关系
与 IT 产品经销商/顾问建立良好关系,您就随时拥有可信赖的谘询对象可提供您 IT 相关问题的意见。
寻求建议 – 您的经销商或顾问应该协助您挑选适合您企业的解决方案,不仅要随您的需求而成长,而且要能保障您的 IT 投资。
委外管理 – 您的经销商或顾问甚至可以从远端帮您管理信息安全解决方案,这表示您可省下许多麻烦,又能获得更好的防护。
8) 以身做则
如果您是一位主管,请以身做则,为企业内的其他人树立模范。建立一个种重视信息安全的小型企业文化,是迈向信息安全的一大步:
成为代言人 – 如果您听到任何新的威胁,或者有任何预防建议,请和大家分享您的最佳安全实务。
有智慧地分享 – 在与他人分享信息之前,请务必确认内容是否来自可靠来源。只要一位使用者散发了一封病毒邮件,就足以让整个企业遭殃。
9) 让信息安全随时保持更新
您的个人电脑、服务器和移动装置是否拥有业界最佳的威胁情报?手动或不常更新的信息安全软件,会让您的门户洞开。常言道,您的安全状态只到上一次更新为止。但是,如果您采用云端式平台,那么所有更新都会自动在云端完成。
采用代管式解决方案 – 传统的安全解决方案可能会降低您的电脑效能。您可以选择让供应商的资料中心为您服务。代管式方案使用的是厂商的资料中心,因此,您的电脑与服务器资源可省下来专心应付业务需求。
别再使用旧式防毒软件 – 传统的防毒软件是采用特征比对的方式来侦测恶意档案,因此每台电脑上都必须安装所谓的「指纹」或「特征」档案。但由于威胁的繁衍速度惊人,不断更新特征档案将拖慢您的电脑速度。而新的解决方案会检查电子邮件寄件人、档案及网站的信誉,非但不会拖慢您的电脑,还能提供更好、更快的防护。
自动化作业系统更新 – 让您电脑的安全修补程序越简单越好。您作业系统的漏洞,是黑客的一大助力。因此请确保这类更新能快速自动部署。
要求并检查是否确实套用修补程式 – 提供详细的信息让您的使用者了解他们所需使用的软件版本,以及如何查看自己的版本。提供连结并说明如何更新至正确版本。使用者一旦发现您非常认真看待这件事,他们自然较愿意配合。
10) 选择一个信息安全伙伴,而非只是一家厂商
选择熟悉小型企业环境独特信息安全需求的厂商。
选择一家信息安全厂商 – 看看您的厂商是否以信息安全为主要核心业务,或者只是提供信息安全附加元件而已。
查看厂商过去的实绩 – 在对抗各种不同威胁方面享有盛名、而且在小型和大型企业都有实际经验的厂商,才能提供最佳的防护。
